移动端支付的安全隐患与应对措施.pptx

2016移动端支付的安全危机与对策分析 1.背景介绍 2.支付优势目 录 3.安全隐患CONCENTS 4.应对策略01背景介绍移动互联网发展移动支付的概念移动支付也称为手机支付，就是允许用户使用其移动终端（通常是手机）对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为，从而实现移动支付功能。移动支付将终端设备、互联网、应用提供商以及金融机构相融合，为用户提供货币支付、缴费等金融业务。移动支付主要分为近场支付和远程支付两种，所谓近场支付，就是用手机刷卡的方式坐车、买东西等，很便利。远程支付是指：通过发送支付指令（如网银、电话银行、手机支付等）或借助支付工具（如通过邮寄、汇款）进行的支付方式，如掌中付推出的掌中电商，掌中充值，掌中视频等属于远程支付。目前支付标准不统一给相关的推广工作造成了很多困惑。移动支付标准的制定工作已经持续了三年多，主要是银联和中国移动两大阵营在比赛。数据研究公司IDC的报告显示，2017年全球移动支付的金额将突破1万亿美元。强大的数据意味着，今后几年全球移动支付业务将呈现持续走强趋势。常用移动支付软付宝百度钱包微信支付京东钱包发展现状与趋势2014年金额22.59万亿元电子支付业务333.33亿笔同比增长134.30%同比增长170.25%02支付优势支付优势 及时性不受时间地点的限制，信息获取更为及时，用户可随时对账户进行查询、转账或进行购物消费。 定制化基于先进的移动通信技术和简易的手机操作界面，用户可定制自己的消费方式和个性化服务，账户交易更加简单方便。 移动性随身携带的移动性，消除了距离和地域的限制。结合了先进的移动通信技术的移动性，随时随地获取所需要的服务、应用、信息和娱乐。 集成性以手机为载体，通过与终端读写器近距离识别进行的信息交互，运营商可以将移动通信卡、公交卡、地铁卡、银行卡等各类信息整合到以手机为平台的载体中进行集成管理定制化及时性移动性集成性03安全隐患安全隐患 病毒感染 手机漏洞 诈骗电话及短信 个人信息泄露病毒感染 “短信盗贼” （a.remote.eneity） “盗信僵尸”（a.expense.regtaobao.a） “伪淘宝”(a.privacy.leekey.b) “银行鬼手”(a.expense.tgpush) “鬼面银贼”（a.rogue.bankrobber）病毒感染1、截止到2014年第一季度，第三方支付类、电商类、团购类、理财类、银行类这五大手机购物支付类APP下载量增长迅猛。2、2014年第一季度支付类软件共364款，其下载量占全部软件下载量的30.38%。3、2014年第一季度截获手机病毒包数143945个，感染手机病毒用户数达到4318.81万。4、电商类APP下载量和该类别感染的病毒包数均排名第一。病毒感染2015年第三季度，Android手机安全形势持续严峻。基于腾讯手机管家安全服务的腾讯移动安全实验室数据显示，2015年第三季度Android手机病毒包新增713.6万，相比2014年的三季度，同比增长217%。[2-3] 2015年第三季度，Android病毒感染人次达到8032.8万人次，相比2014年第三季度，同比增长56%。[2-3] 2015年第三季度，手机中毒最多的五大省份或直辖市依次分别是广东省、北京市、湖北、河南、江苏。感染用户占全国的比例分别为14.38%、7.45%、6.3%、6.2%、5.8%。[2-3] 2015年第三季度，腾讯手机管家针对Android病毒查杀次数达到1.26亿次，相比2014年第三季度，同比增长51%。[2-3] 2105年第三季度，垃圾短信新增用户举报1.69亿条。用户举报骚扰电话次数达到2.2亿。[2-3] 手机漏洞MasterKey 漏洞Android挂马漏洞风险WiFi威胁手机漏洞手机漏洞正常情况下，每个Android应用程序都会有一个数字签名，来保证应用程序在发行过程中不被篡改，但黑客可以在不破坏正常APP程序和签名证书的情况下，向正常APP中植入恶意程序，并利用正常APP的签名证书逃避Android系统签名验证。而利用该签名漏洞的扣费木马可寄生于正常APP中， 进而针对捆绑手机用户进行恶意扣费，并向用户联系人发送恶意软件下载推荐短信，在Android系统中，MasterKey漏洞是最为常见的一个，黑客们可以通过这个漏洞绕过系统认证安装手机病毒或恶意软件，进一步操控用户的Android系统及他们的设备。MasterKey 漏洞风险WiFi主要类别分为ARP中间人攻击、虚假钓鱼、DNS劫持。其中，ARP中间人攻击是主流，占风险WiFi类型比例达到61.35%，另外，虚假钓